FiComin lausunto HE-luonnokseen viestintäverkon kriittisissä osissa käytettävistä laitteista SVPL 244 a §

FiComin keskeiset viestit:

  • Teleyritysten toiminta perustuu luottamukseen ja turvallisuuteen. Näihin pohjautuen yritykset rakentavat tietoturvallisuuden kokonaisuuden, jossa niillä on vastuut ja velvoitteet. 
  • Teleyritysten kannalta sääntelyn tarkkarajaisuus ja oikeusvarmuus on aivan keskeistä.
  • Sääntelyssä tulee riittävällä ja kestävällä tarkkuudella määritellä, mitä verkon osia se koskee ja mikä on se uhka, johon sääntely kohdistuu.
  • Toimenpiteille tulee varata riittävän pitkät siirtymäajat.
  • Sääntelyn tarkoittamia uhkia ja niiden arvioita tulee käsitellä luotetussa piirissä yhteistyössä toimivaltaisten viranomaisten ja teleyritysten kanssa.
  • Sääntelyn tavoitteen toteutumiseksi soveltamisalan tulisi koskea myös muita kuin yleisiä verkkoja.
  • FiCom pitää ehdottoman tärkeänä esityksen ehdotusta siitä, että sääntelyä ei sovelleta taannehtivasti.
  • Verkkolaitteen poistamisesta aiheutuvat kustannukset tulee korvata.

Yleistä

Ehdotus perustuu EU:n riskiarvioon liittyvään yhteisen keinovalikoiman strategisten toimenpiteiden toimeenpanoon, joten ehdotus on tältä osin ymmärrettävä ja perusteltu. FiComin jäsenyritykset ovat osaltaan valmiita täyttämään velvollisuutensa. Ehdotus puuttuu merkittävällä tavalla markkinaehtoisesti toimivan yrityksen tapaan harjoittaa liiketoimintaansa. Kyse on siis periaatteellisesti erittäin merkittävästä asiasta, jonka säätämisessä tulee olla erityisen huolellinen. Tähän saakka teleyritykset ovat rakentaneet maahamme kattavan ja korkealaatuisen viestintäinfrastruktuurin, joilla tarjotaan kansainvälisessä vertailussa erittäin laadukkaita ja edullisia palveluita. Tämän kehityksen tulee säilyä ja olla mahdollista myös jatkossa.

Koska ehdotus on teleyrityksiä raskaasti velvoittava ja puuttuu merkittäviltä osin niiden perustuslain nauttimaan omaisuudensuojaan ja elinkeinovapauteen, ehdotukseen tulisi jatkovalmistelussa tehdä muutoksia sen tarkkarajaisuuteen ja oikeusvarmuuteen, toimenpiteiden riittäviin siirtymäaikoihin sekä yhteistyövelvoitteisiin. 

Viestintäverkon kriittisissä osissa käytettävät laitteet

Suomessa käytetään suhteellisesti eniten mobiilidataa maailmassa. Tätä edesauttaa se, että meillä on maailman puhtaimmat ja turvallisimmat verkot. Teleyritysten toiminta perustuu ja painottuu luottamukseen, turvallisuuteen ja näiden ylläpitämiseen sekä varautumiseen. Teleyrityksillä on vastuut ja velvoitteet toimintansa keskeisten perusteiden täyttämiseksi. Sääntelyn tulee mahdollistaa jatkossakin datan käytön jatkuminen.

Ehdotuksen 1 momentin mukaan viestintäverkkolaitetta ei saa käyttää viestintäverkon kriittisissä osissa, jos on erityisen painavia perusteita epäillä, että laitteen käyttäminen vaarantaisi kansallista turvallisuutta. Verkon kriittisenä osana pidetään toimintoja ja toimenpiteitä, joiden avulla verkkoa ja siellä kulkevaa liikennettä keskeisellä tavalla hallitaan.

Säännösehdotuksen (viestintäverkon) ‘kriittinen osa’ on uusi käsite ja myös tämän on ehdotuksen keskeinen kohta, koska siinä määritellään ehdotuksen soveltamisalan reunaehdot. Teleyritykset investoivat Suomessa viestinverkkoihin vuosittain yli puoli miljardia euroa, ja mittavat investoinnit edellyttävät sääntelyltä erityistä tarkkarajaisuutta ja oikeusvarmuudellista ennustettavuutta. Tästä syystä viestintäverkon kriittinen osa edellyttää riittävää tarkkarajaisuutta sen suhteen, mihin verkon osiin sääntelyä on tarkoituksenmukaista kohdistaa.

Tämän määrittelyn tulee olla riittävän tarkkarajaista, selkeää ja ennustettavaa myös siitä syystä, että se ohjaa riittävällä tarkkuudella Liikenne- ja viestintävirastolle ehdotettavaa määräyksenantovaltuutta. Perustuslakia koskevassa hallituksen esityksessä on esimerkkinä viranomaisen norminantovallasta mainittu tekninen ja vähäisiä yksityiskohtia koskeva sääntely, johon ei liity merkittävää harkintavallan käyttöä (HE 1/1998 vp, s. 133). Määräyksessä on tarkoituksenmukaista säännellä teknisluonteisista seikoista, mutta sääntely voi olla ongelmallisia esimerkiksi, jos asetetaan taloudellisesti huomattavia rajoituksia tai velvoitteita, ja näitä koskeva lain delegointisäännös on liian yleisluontoinen.

Koska ehdotusta perustellaan EU:n yhteisellä riskiarviolla ja sitä koskevalla keinovalikoimalla, tulee kriittisiä verkon osia peilata siihen, miten muissa jäsenvaltiossa riskiarvioita ja keinovalikoimaa pannaan täytäntöön. Tämän lisäksi esimerkiksi 5G-matkaviestinverkon ydintä (5G Core) arvioitaessa tulisi ottaa huomioon se, miten sitä on kuvattu Euroopan tietoturvaviraston ENISAn raportissa.[1] Kriittisiä verkon osia eivät ole radioliityntäverkot (Radio Access Network RAN) ja siirtoverkot (transmission) ja niiden laitteet. Verkon kriittisiksi osiksi ei tulisi katsoa myöskään kiinteää liityntäverkkoa eikä kiinteän verkon asiakaspääte- ja liityntälaitteita vastaavasti kuin on todettu matkaviestinverkon osalta. Verkon kriittisiksi osiksi ei tulisi katsoa myöskään verkon reunalla olevia massatuotteita eli siellä sijaitsevia laitteita ja ohjelmia.                                                                                                                                             

Ehdotuksen mukaan Liikenne- ja viestintävirasto voi antaa tarkempia määräyksiä viestintäverkon kriittisten osien teknisestä määrittelystä. Koska kyse on teleyritysten kannalta keskeisestä määrittelytyöstä, määräyksen valmistelua on tarkoituksenmukaista tehdä alusta alkaen tiiviissä yhteistyössä teleyritysten kanssa.

Toimenpiteet

Ehdotuksen mukaan Liikenne- ja viestintävirasto voi velvoittaa viestintäverkon omistajan poistamaan kansallista turvallisuutta vaarantavan verkkolaitteen verkkonsa kriittisistä osista. Ehdotusta tulisi muuttaa vastaamaan SVPL:n häiriön korjausvelvollisuutta (273 §), jossa on portaittainen menettely. Korjaustoimenpiteet ovat ensisijaisesti operaattorin tehtävä, koska se tuntee parhaiten verkkonsa. Korjaustoimenpiteet pitää tehdä portaittain seuraavasti: ensin tunnistetaan ongelmakohta, sen jälkeen suunnitellaan liikenteen siirto varalaitteille, eristetään ongelma ja siirretään liikenne varalaitteille. Vasta tämän jälkeen voi ongelman poistaa. 

Liikenne- ja viestintäviraston päätös poistaa verkkolaite viestintäverkosta on oltava ehdottoman välttämätön ja viimesijainen keino. Tämän lisäksi poistamiselle tulee olla riittävän pitkä siirtymäaika verkon ja viestintäpalveluiden toimivuuden takaamiseksi.

Yhteistyö

Teleyrityksillä on alansa paras tietämys omista viestintäverkoistaan ja niiden tietoturvasta. Suomessa teleyrityksillä ja viranomisilla on erinomainen public-private-partnership-yhteistyö. Koska säännöksellä voidaan vahvasti puuttua teleyritysten omaisuudensuojaan ja elinkeinovapauteen, tätä yhteistyötä ja teleyritysten asiantuntemusta tulee toimivaltaisten viranomaisten käyttää ja ottaa vastaan myös tässä asiassa. Esimerkiksi sääntelyn tarkoittamia uhkia ja niiden arvioita on tarkoituksenmukaista käsitellä luotetussa piirissä yhteistyössä toimivaltaisten viranomaisten ja teleyritysten kanssa. Viranomaisilla tulisi olla mahdollisuus luovuttaa tietoja salassapitosäännösten estämättä, jos tiedon luovuttaminen on tarpeen kansallisen turvallisuuden suojaamiseksi tai tiedon saajan etujen turvaamiseksi. Vastaavista tiedonluovutusoikeudesta on säädetty esimerkiksi siviilitiedustelulain 16 §:ssä ja sotilastiedustelulain 74 §:ssä

Soveltamisala

Ehdotuksen mukaan lähtökohtaisesti soveltamisalan ulkopuolelle jäisivät suljetut verkot ja paikalliset verkot eli mikro-operaattorit, elleivät ne ole pykälän 2 momentin mukaisia kriittisiä toimijoita. Säännöstä tulisi jatkovalmistelussa muuttaa siten, että ne koskevat kaikkia kriittisiä toimijoita riippumatta siitä, ovatko ne yleisessä viestintäverkossa vai eivät. Viestintäverkkojen kansallinen turvallisuus ei koske pelkästään yleisiä verkkoja, vaan yhtä lailla suljettuja verkkoja. Viestintäverkot ovat tavalla toisella yhteydessä ulkomaailmaan riippumatta siitä, onko verkossa sen käyttäjille tarjottava palvelu katsottavissa yleiseksi teletoiminnaksi vai ei. Vaikka yhteiskunnan kannalta tärkeän toiminnan suljettu verkko olisi eristetty yleisestä televerkosta, on siihen mahdollista kohdistaa tiedustelu- ja vahingoittamistoimia siitä huolimatta. Käytännössä näin on tapahtunutkin, kun haittaohjelmalla on kyetty tuhoamaan erään maan ydinpolttoaineen rikastamiseen käytettävät laitokset, vaikka laitoksia ei ollut liitetty Internetiin. Sääntelyehdotuksen tarkoituksen ja tavoitteen toteuttamiseksi verkkoja tulisi säännellä yhdenmukaisesti.  

Kustannukset

Säännöksessä tai sen perusteluissa ei ole otettu kantaa kustannusten korvaamiseen teleyrityksille tilanteessa, jossa Liikenne- ja viestintävirasto velvoittaa poistamaan verkkolaitteen verkosta. Teleyrityksen omaisuudensuojan kannalta asiasta tulisi säätää myös tässä yhteydessä varsinkin tilanteissa, joissa verkkolaite on täyttänyt sen investointi-, sijoittamis- tai käyttöönottohetkellä lain, määräysten tai standardien vaatimukset. Yksi vaihtoehto voisi olla viittaussäännös, mitä SVPL:n varautumisesta aiheutuvista kustannuksista säädetään (298 §).  Korvauksen tulee kattaa paitsi laitteen poisto, myös uusi laite sekä näistä aiheutuvat työt.

[1] ENISA Threat Landscape For 5G-Networks 2019 5g-matkaviestinverkon ytimen määritelmä (s. 19 kuva 2 ja sivu 20 kuva 3) perustuu 3rd Generation Partnership Projectin (3GPP) määritelmään .

kyberturvallisuussvplsääntelytietoturvaviestintäverkot

Marko Lahtinen, lakiasioiden päällikkö, FiCom ry